据央视网:国家打算机病毒应急处理中央发文《西北工业大学遭美国NSA网络攻击事宜调查报告》显示:源头系美国国家安全局“特定入侵行动办公室”,中国上百个主要信息系统被美国植入木马程序,“学xi通”疑透露1.7亿用户数据。
经由技能团队全面还原干系攻击事宜的总体概貌、技能特色、攻击武器、攻击路径和攻击源头等,剖断为美国国家安全局发起的攻击活动。那么他们是怎么找到的证据呢?个中剖析IIS日志便是必不可少的一环。以是我本日给条友们聊聊如何解析IIS日志的问题。
做事器的IIS日志作为用来追踪和剖析活动的主要工具,记录了做事器上发生的用户访问、缺点信息、做事器相应等各种事宜。在遭受黑客攻击后可以赞助找到攻击的线索,帮助查找攻击的来源、方法和影响范围等。
为了方便理解,我先把紧张内容及格式发下:
这是我做事器的格式:#Software: Microsoft Internet Information Services 8.5#Version: 1.0#Date: 2020-03-30 00:00:20#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken2020-03-30 00:00:20 172.31.103.143 GET /Parenting.aspx - 80 - 47.104.190.46 - - 200 0 0 4372020-03-30 00:00:20 172.31.103.143 GET /Wisdom.aspx - 80 - 47.104.190.46 - - 200 0 0 152020-03-30 00:00:20 172.31.103.143 GET /love.aspx - 80 - 47.104.190.46 - - 200 0 0 343
#Software: Microsoft Internet Information Services 8.5:这一行指明了天生此日志的软件是Microsoft的Internet Information Services(IIS)版本8.5。#Version: 1.0:这这天记文件的版本号,表明该日志遵照某种特定格式。#Date: 2020-03-30 00:00:20:这一行指示了日志文件的创建日期和韶光。#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken:这一行定义了日志条款标字段,这些字段包括日期、韶光、做事器IP、客户端要求方法、要求的URI主干、要求的URI查询字符串、做事器端口、用户名、客户端IP、用户代理、引用页、HTTP状态码、子状态码、Win32状态码和要求处理韶光。
2020-03-30 00:00:20 172.31.103.143 GET /Parenting.aspx - 80 - 47.104.190.46 - - 200 0 0 437:这条日志信息显示:2020-03-30 00:00:20:要求日期和韶光。172.31.103.143:做事器IP地址。GET:HTTP要求方法。/Parenting.aspx:要求的URI主干,也是我做事器上网站的一个栏目页。-:要求的URI查询字符串(在这里为空)。80:做事器端口。-:用户名(在这里为空,表示匿名访问)。47.104.190.46:客户端IP地址。-:用户代理(在这里为空,可能表示没有供应或已删除)。-:引用页(在这里为空,表示没有引用页或已删除)。200:HTTP状态码,表示要求成功。0:子状态码(常日用于IIS特定的缺点详情)。0:Win32状态码(Windows API调用的返回值)。437:要求处理韶光,以毫秒为单位。
你明白了吗?那么如何剖析这些日志信息呢?
下面我举几个日志中常见的例子给条友先容下:
# 示例:访问首页,HTTP状态码200表示成功2023-03-15 00:00:01 10.0.0.1 GET / - 80 - 203.0.113.101 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/91.0.4472.124+Safari/537.36 - 200 0 0 567
# 示例:访问图片资源,HTTP状态码200表示成功2023-03-15 00:00:02 10.0.0.1 GET /images/logo.png - 80 - 203.0.113.101 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/91.0.4472.124+Safari/537.36 http://example.com/ 200 0 0 345
# 示例:提交表单,HTTP状态码302表示临时重定向,POST表示发送数据的办法,发送的内容为username=user&password=pass2023-03-15 00:00:03 10.0.0.1 POST /login username=user&password=pass 80 - 203.0.113.101 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/91.0.4472.124+Safari/537.36 http://example.com/ 302 0 0 123
# 示例:HTTP状态码404表示未找到资源2023-03-15 00:00:05 10.0.0.1 GET /images/avatar.jpg - 80 - 203.0.113.101 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/91.0.4472.124+Safari/537.36 http://example.com/account/dashboard 404 0 0 654
内容太多了,先写这些吧。
补充几句:
在剖析IIS日志时,该当紧张要关注以下几个方面:
非常要求:也便是与正常用户行为不符的。
要求或发送的参数剖析:剖析GET、POST要求的查询字符串参数,探求非常或恶意的参数值。
相应状态码:检讨返回的状态码,如404(未找到)或500(内部做事器缺点),这些可能表明攻击考试测验或做事器配置问题。
用户代理字段:识别可能的自动化工具或已知的恶意软件。
根据这些信息可以追踪攻击路径,以便采纳相应的防御方法。
